Erst letzte Woche berichtete ich über schwere Sicherheitsprobleme mit dem Internetprotokol IPv6. Jetzt reagieren auch die Experten der Internet Engineering Task Force (IETF) in ungewohnt hoher Geschwindigkeit auf die Ereignisse, wahrscheinlich um zu verhindern, daß die Entwicklungen aus dem Ruder laufen.

Es geht hauptsächlich um einen Bug bei der Verwendung von Type 0 Routing Headern, die es einem Angreifer ohne Aufwand ermöglichen, eine Denial-of-Service-Attacke auszüben, denn die Fähigkeit dazu steckt im Protokoll selbst. Dieses Thema beherrschte die Sicherheitskonferenz CanSecWest letzten Monat. Pikant ist allerdings, daß ein bereits mit IPv4 ausgeräumtes Problem mit IPv6 wieder neu eingeführt wurde.

Der Type 0 RH bringt, außer den Hackern, niemandem einen Nutzen, und die Auswirkungen auf die Infrastruktur sind furchtbar. Die IPv6-Designer haben in diesem Punkt nichts von IPv4 gelernt und auch einige Best Practices der Vergangenheit abgelegt.

zeigen sich Philippe Biondi und Arnaud Ebalard, die beiden Sicherheitsexperten der EADS, besorgt.

Nach der Präsentation (PDF) der beiden Forscher gaben viele Unternehmen Sicherheitswarnungen und -updates für ihre Produkte heraus. Zunächst kann das Problem in den meisten Fällen vermieden werden, wenn man die Routing Header vom Typ 0 einfach abschaltet.

Nun haben auch die Ingenieure der IETF Vorschläge unterbreitet, wie das Problem angegangen werden soll. Pekka Savola (CSC/FUNET) und Joe Abley (Afilias, Ldt.) arbeiten an den beiden Internet Drafts IPv6 Type 0 Routing Header Processing und Deprecation of Type 0 Routing Headers in IPv6, die als Diskussionsgrundlage innerhalb der IETF dienen sollen. Da IPv5 noch nicht flächendeckend ausgerollt wurde, gehen Analysten davon aus, daß das Problem innerhalb der nächsten drei Jahre vollständig verschwunden sein wird.

Leider ist das Hauptproblem aber, daß weitere Probleme mit IPv6 auftauchen werden, da, so sind sich Sicherheitsexperten einig, weitere Bugs in die Protokollspezifikation eingeflossen sein können, ganz abgesehen von denen in spezifischen Implementierungen der jeweiligen Hersteller. Während viele Bugs von IPv4 im Laufe der Zeit ausgebügelt wurden, müssen die gleichen Probleme mit IPv6 erneut bekämpft werden.

Der Type 0 RH sollte dem Absender dazu dienen, eine Route für das Paket festezulegen, wobei damit das Routing des Netzwerks umgangen wird. Es ist vergelichbar mit Source Routing von IPv4. Mittels dieser Tatsache hat es ein Angereifer leicht, denn er kann mit wenig Aufwand Pakete auf dem gleichen Link so routen, daß sie von einem Hop wieder zurück zum Ursprung gesendet werden und einen DoS verursachen. Genau aus diesem Grund ist Source Routing aus IPv4 verschwunden.

Weitaus gefährlicher als IPv4 Source Routing sind einige Szenarien der EADS-Experten (PDF), die das Internet schwer belasten können, da lediglich ein Paket ausreiche, um zum einen Cisco-Router zum Absturz zu bringen und zum anderen ganze Länder vom Internet zu trennen.